Code Correctness: Hidden Method

Java/JSP

Abstract

静态方法不能被覆盖，但在作为实例方法调用时可能看起来是隐藏的。

Explanation

静态方法无法根据定义进行覆盖，因为它们属于类，而非类的实例。但是，某些情况下，静态方法看似已在子类中被覆盖，这样会产生混淆并导致调用错误版本的方法。

示例 1：以下示例尝试定义 API 以对用户进行身份验证。


class AccessLevel{
  public static final int ROOT = 0;
  //...
  public static final int NONE = 9;
}
//...
class User {
  private static int access;
  public User(){
    access = AccessLevel.ROOT;
  }
  public static int getAccessLevel(){
    return access;
  }
  //...
}
class RegularUser extends User {
  private static int access;
  public RegularUser(){
    access = AccessLevel.NONE;
  }
  public static int getAccessLevel(){
    return access;
  }
  public static void escalatePrivilege(){
    access = AccessLevel.ROOT;
  }
  //...
}
//...
class SecureArea {
  //...
  public static void doRestrictedOperation(User user){
    if (user instanceof RegularUser){
      if (user.getAccessLevel() == AccessLevel.ROOT){
        System.out.println("doing a privileged operation");
      }else{
        throw new RuntimeException();
      }
    }
  }
}

此代码看上去还是比较合规。但是，由于我们是针对 user 实例，而非 User 或 RegularUser 类来调用 getAccessLevel() 方法，这意味着此条件下将始终返回 true 且会执行该限制操作，即使使用了 instanceof 以便进入 if/else 块的此部分也是如此。

References

[1] MET07-J. Never declare a class method that hides a method declared in a superclass or superinterface CERT

[2] Java Language Specification Chapter 8. Classes Oracle

[3] Standards Mapping - Common Weakness Enumeration CWE ID 486

desc.structural.java.code_correctness_hidden_method